RESPONSABILITÀ E ACCOUNTABILITY IN MATERIA DI PROTEZIONE DEI DATI PERSONALI: IL CONTESTO DELL'INTERNET OF THINGS

Il presente elaborato nasce dall’intento di indagare l’adeguatezza dei sistemi di responsabilizzazione e responsabilità civile nell’Internet of Things. Per operare tale disamina si è proceduto mediante diversi approcci: in particolare, si è fatto affidamento sui benefici dell’analisi storica, sociologica e tecnica, da integrare allo studio delle norme, delle decisioni e delle prassi tipico del giurista. Il primo capitolo si pone l’obiettivo di fornire le coordinate principali per la comprensione del fenomeno dell’Internet of Things: ciò ha richiesto un approccio, seppur minimo, di tipo storico e tecnico. L’odierno stato dell’arte si deve infatti allo sviluppo di tecnologie fondamentali quali il cloud computing, e le più moderne edge computing e fog computing. Queste, a loro volta, hanno richiesto un’introduzione relativa al loro funzionamento. Nel secondo capitolo si è invece spostata l’attenzione sul rapporto tra diritto e tecnologia, con focus sulle tecnologie digitali. La protezione dei dati personali oggetto della tesi è infatti riconducibile al vasto ambito di studi conosciuto come Law&Tech, caratterizzato dall’influenza che la tecnologia esercita sul diritto. Tale mutamento di paradigma è stato analizzando ripercorrendo le principali tappe che hanno portato all’odierno principio di accountability, con particolare enfasi sulle misure minime di sicurezza previste dall’articolo 33 del vecchio codice privacy. Il quarto capitolo è invece incentrato sulla responsabilità civile da illecito trattamento dei dati personali. La disposizione di riferimento è l’articolo 82 del GDPR, e partendo da essa sono stati esaminati i profili soggettivi attivi e passivi, i profili oggettivi, la natura del criterio di imputazione della responsabilità, e il rapporto intercorrente tra danneggiato e danneggiante. Lo studio protratto ha tenuto in considerazione i problemi irrisolti della responsabilità civile, soprattutto in merito al criterio di imputazione della responsabilità e al rapporto tra danneggiante e danneggiato. Tale analisi è stata integrata mediante una lettura sistematica del Regolamento, con la conseguenza di rinvenire i limiti minimi e massimi della responsabilità civile nel rispetto del principio di accountability. In particolare, sono stati esaminati l’equilibrio fissato dal GDPR tra circolazione e protezione dei dati personali, il principio di adeguatezza, e infine i limiti dello stato dell’arte e dei costi di attuazione. I risultati ottenuti nel terzo e nel quarto capitolo sui sistemi di responsabilizzazione e responsabilità civile sono poi stati testati nel contesto dell’Internet of Things. Ciò ha imposto un’introduzione sul modello di circolazione dei dati personali, e dei rischi che da questo derivano: in particolare sono state esaminate la discriminazione algoritmica e le influenze sull’autodeterminazione della persona. Gli algoritmi sono stati presi in considerazione, in virtù della loro grande capacità inferenziale, come strumenti per l’estrazione di nuovi dati, talvolta gravati da bias impressi al momento della progettazione, e altre volte viziati da pregiudizi emersi in momenti successivi rispetto a quello della programmazione. Il rispetto del principio di accountability nell’IoT, di modo da non essere condannati al risarcimento del danno previsto dall’articolo 82 GDPR, risulta assai complesso. Il fenomeno tecnologico in questione è assai intricato, caratterizzato da grande opacità e da catene di trattamenti. La mancanza di trasparenza rende complesso essere accountable, mentre la concatenazione di trattamenti accountable, in certi casi, può comportare l’inconsistenza della protezione dei dati personali. Infine, sono stati paragonati alcuni profili problematici della responsabilità civile legati alla industrializzazione dei rapporti a quelli derivanti dalla digitalizzazione degli stessi. Oltre a ciò, il secondo capitolo è stato dedicato all’inquadramento del dato personale, oggetto della tutela della disciplina in esame. Si è preso come riferimento principale l’articolo 4 del GDPR e il parere numero 4 del 2007 del Gruppo di lavoro ex articolo 29. Quest’ultimo, mediante l’emanazione di atti di soft law (pareri e linee guida) gioca un ruolo fondamentale per l’interpretazione delle disposizioni relative alla protezione dei dati personali. Proprio al soft law è stato attribuito grande importanza nel corso dell’intera trattazione: gli atti del Gruppo di lavoro, del Garante italiano, del Garante europeo e di agenzie europee (quali ad esempio l’Enisa) costituiscono riferimenti di prim’ordine dell’analisi dei testi normativi e per la valutazione delle prassi tecnologiche applicative. Il terzo capitolo è stato dedicato al principio di accountability. Questo è stato considerato da importanti commentatori l’elemento su cui basare l’ammodernamento della disciplina della protezione dei dati personali: esso è infatti stato introdotto dal GDPR, e differentemente rispetto a quanto previsto dalla direttiva madre, importa una serie di obblighi volti a responsabilizzare le figure principali del trattamento: il titolare ed il responsabile del trattamento. The first chapter aims to provide the main coordinates for understanding the phenomenon of the Internet of Things: this required a historical and technical approach, albeit minimal. Today's state of the art is in fact the result of the development of fundamental technologies such as cloud computing, and the more modern edge computing and fog computing. These, in turn, required an introduction to how they work. In the second chapter, the focus shifted to the relationship between law and technology, with a focus on digital technologies. The protection of personal data, that is the subject of this thesis can in fact be traced back to the vast field of studies known as Law&Tech, characterised by the influence that technology exerts on law. In addition to this, the second chapter was dedicated to the framing of personal data, the object of the protection of the discipline under examination. The main reference was Article 4 of the GDPR and Opinion No. 4 of 2007 of the Article 29 Working Party. The latter, by issuing soft law acts (opinions and guidelines) plays a key role in the interpretation of data protection provisions. A great importance was attached to soft law in the course of the thesis: the acts of the European Data Protection Board, of the Italian Data Protection Authority, of the European Data Protection Supervisory, and the European agencies (such as Enisa) constitute first-rate references for the analysis of regulatory texts and for the evaluation of technological implementation practices. The third chapter was devoted to the accountability principle. This has been considered by important commentators as the element on which the modernisation of the data protection discipline was based: it was in fact introduced by the GDPR, and in contrast to the former Directive 95/46/EC, it imports a series of obligations aimed to making the main figures accountable for processing: the controller and the processor. This paradigm shift is analysed by retracing the main stages that led to today's accountability principle, with particular emphasis on the minimum security measures provided for in Article 33 of the former Italian privacy code. The fourth chapter focuses instead on civil liability for unlawful processing of personal data. The reference provision is Article 82 of the GDPR, and starting from it, the active and passive subjective profiles, the objective profiles, the nature of the criterion of imputation of liability, and the relationship between the injured party and the damaging party were examined. The protracted study took into consideration the unresolved problems of Italian civil liability, especially as regards the criterion of imputation of liability and the relationship between the injured party and the damaged party. This analysis was supplemented by a systematic reading of the Regulation, with the consequence of finding the minimum and maximum limits of civil liability in the compliance with the principle of accountability. In particular, the balance set by the GDPR between the circulation and protection of personal data, the principle of adequacy, and finally the limits of the state of the art and implementation costs were examined. The results obtained in the third and fourth chapters on accountability and civil liability systems were then tested in the context of the Internet of Things. This necessitated an introduction on the circulation model of personal data, and the risks arising from it: in particular, algorithmic discrimination and influences on personal self-determination were examined. Algorithms were taken into consideration, by virtue of their great inferential capacity, as tools for the extraction of new data, sometimes burdened by biases imprinted at the time of design, and at other times vitiated by biases that emerged later than the time of programming. Respecting the principle of accountability in the IoT, so as not to be condemned for damages under Article 82 GDPR, is very complex. The technological phenomenon in question is very intricate, characterised by great opacity and chains of processing. The lack of transparency makes it complex to be accountable, while the concatenation of accountable treatments, in certain cases, can lead to the inconsistency of personal data protection. Finally, some problematic liability profiles linked to the industrialisation of relations were compared to those arising from their digitalisation.